Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Modern	  Malware	          Nir	  Zuk	      Founder	  and	  CTO	  
data	  breach	  mythology	  
we	  invest	  in	  protec>ng	  our	  data	  centers	  
rarely	  the	  datacenter	  is	  a?acked	  directly	  
no	  more	  vulnerability	  scanning	  
the	  new	  a?acker	  
the	  a?acker	  is	  not	  a	  bored	  geek	  
na>on	  states	  and	  organized	  crime	  
data	  breaches	  in	  2011	  
step	  one:	  bait	  an	  end-­‐user	  
step	  one:	  bait	  an	  end-­‐user	           spear	  phishing	  
step	  one:	  bait	  an	  end-­‐user	  
step	  two:	  exploit	  a	  vulnerability	  
step	  three:	  download	  a	  backdoor	  
step	  four:	  establish	  a	  back	  channel	  
step	  five:	  explore	  and	  steal	  
the	  	  state	  of	  malware	  protec>on	  
protec>on	  is	  needed	  at	  all	  stages	                                            back	  bait	      exploit	     dow...
	  bait	  protec>on	  
	  exploit	  protec>on	  exploits	  come	  in	  thru	  many	  applica>ons	  
	  exploit	  protec>on	  many	  months	  pass	  between	  black-­‐hat	  discovery,	  white	     hat	  discovery,	  and	  ...
	  download	  protec>on	  targeted	  a?acks	  mean	  few	  instances	  in	  the	  wild	  
	  download	  protec>on	  an>-­‐malware	  vendors	  take	  several	  days	  to	  come	  up	                      with	  a...
	  back	  channel	  protec>on	                       +                                +not	  only	  a?acks	  are	  target...
	  explore-­‐and-­‐steal	  protec>on	  minimal	  internal	  security	  means	  that	  once	  inside,	      an	  a?acker	 ...
blueprint	  for	  stopping	  modern	  malware	  
need	  to	  protect	  all	  applica>ons	  
response	  >me	  is	  key	  
automa>on	  is	  a	  must	  
a	  sandbox	  at	  the	  core	  
perform	  the	  analysis	  for	  all	  devices	  centrally	  
automa>cally	  generate	  mul>ple	  signatures	  • 	  An>-­‐malware	  download	  signatures	  • 	  IPS	  back-­‐channel	  ...
deliver	  signatures	  with	  one	  hour	  
stopping	  modern	  malware	  in	  prac>ce	  
need	  to	  protect	  at	  all	  stages	                                                  back	  bait	            exploit	...
bait	  protec>on	  	  • 	  Block	  unneeded	  applica>ons	  • 	  Control	  file	  transfers	  by	  user,	  applica>on,	  a...
exploit	  protec>on	  	  • 	  Discover	  vulnerabili>es	  before	  the	  bad	  guys	  • 	  IPS	  signature	  for	  newly	...
discovering	  MicrosoN	  vulnerabili>es	                     Palo	  Alto	                                        Tipping	 ...
discovering	  Adobe	  Flash	  vulnerabili>es	                     Palo	  Alto	                                        Tipp...
download	  protec>on	  	  •  An>-­‐Malware	  signatures	  available	  to	  the	  en>re	     par>cipant	  base	  within	  ...
back-­‐channel	  protec>on	  	  •  Block	  unknown	  applica>on	  traffic	  •  Use	  heuris>cs	  to	  detect	  back	  chann...
explore-­‐and-­‐steal	  protec>on	  	  •  Network	  segmenta>on	  •  Control	  access	  to	  data	  by	  user	  and	  app...
the	  role	  of	  NGFW	  in	  stopping	  modern	                         malware	  
solu>on	  has	  to	  be	  enterprise-­‐wide	  
protec>on	  has	  to	  be	  real-­‐>me,	  inline	  
needs	  user-­‐based	  access	  control	  
needs	  high-­‐speed	  IPS	  and	  AV	  
need	  to	  perform	  across	  all	  applica>ons	  
need	  to	  block	  the	  unknown	  
conclusion:	  advanced-­‐malware	  protec>on	    belongs	  in	  a	  next	  genera>on	  firewall	  
Thank	  You	  
3 Nir Zuk Modern Malware Jun 2011
Upcoming SlideShare
Loading in …5
×

3 Nir Zuk Modern Malware Jun 2011

Presentación del fundador y CTO de Palo Alto Networks, Nir Zuk, sobre las amenazas de seguridad actuales, como ha evolucionado el ciberterrorismo, y las formas de controlarlo con el FW de Nueva Generación de Palo Alto Networks.

  • Be the first to comment

  • Be the first to like this

3 Nir Zuk Modern Malware Jun 2011

  1. 1. Modern  Malware   Nir  Zuk   Founder  and  CTO  
  2. 2. data  breach  mythology  
  3. 3. we  invest  in  protec>ng  our  data  centers  
  4. 4. rarely  the  datacenter  is  a?acked  directly  
  5. 5. no  more  vulnerability  scanning  
  6. 6. the  new  a?acker  
  7. 7. the  a?acker  is  not  a  bored  geek  
  8. 8. na>on  states  and  organized  crime  
  9. 9. data  breaches  in  2011  
  10. 10. step  one:  bait  an  end-­‐user  
  11. 11. step  one:  bait  an  end-­‐user   spear  phishing  
  12. 12. step  one:  bait  an  end-­‐user  
  13. 13. step  two:  exploit  a  vulnerability  
  14. 14. step  three:  download  a  backdoor  
  15. 15. step  four:  establish  a  back  channel  
  16. 16. step  five:  explore  and  steal  
  17. 17. the    state  of  malware  protec>on  
  18. 18. protec>on  is  needed  at  all  stages   back  bait   exploit   download   steal   channel  
  19. 19.   bait  protec>on  
  20. 20.   exploit  protec>on  exploits  come  in  thru  many  applica>ons  
  21. 21.   exploit  protec>on  many  months  pass  between  black-­‐hat  discovery,  white   hat  discovery,  and  protec>on  being  available  
  22. 22.   download  protec>on  targeted  a?acks  mean  few  instances  in  the  wild  
  23. 23.   download  protec>on  an>-­‐malware  vendors  take  several  days  to  come  up   with  a  signature  
  24. 24.   back  channel  protec>on   + +not  only  a?acks  are  targeted  and  IPS  signatures  take  >me  to  develop,  back  channels  are  oNen  encrypted  
  25. 25.   explore-­‐and-­‐steal  protec>on  minimal  internal  security  means  that  once  inside,   an  a?acker  can  roam  the  network  freely  
  26. 26. blueprint  for  stopping  modern  malware  
  27. 27. need  to  protect  all  applica>ons  
  28. 28. response  >me  is  key  
  29. 29. automa>on  is  a  must  
  30. 30. a  sandbox  at  the  core  
  31. 31. perform  the  analysis  for  all  devices  centrally  
  32. 32. automa>cally  generate  mul>ple  signatures  •   An>-­‐malware  download  signatures  •   IPS  back-­‐channel  signatures  •   Malware  URLs  •   IPS  signatures  for  iden>fied  new  vulnerabili>es  
  33. 33. deliver  signatures  with  one  hour  
  34. 34. stopping  modern  malware  in  prac>ce  
  35. 35. need  to  protect  at  all  stages   back  bait   exploit   download   steal   channel  
  36. 36. bait  protec>on    •   Block  unneeded  applica>ons  •   Control  file  transfers  by  user,  applica>on,  and  file  type  •   Block  access  to  Malware  URLs  
  37. 37. exploit  protec>on    •   Discover  vulnerabili>es  before  the  bad  guys  •   IPS  signature  for  newly  iden>fied  vulnerabili>es  
  38. 38. discovering  MicrosoN  vulnerabili>es   Palo  Alto   Tipping   Check  Point   Juniper    &   McAfee   Sourcefire   Networks   Point   So9ware   Cisco   20   7   7   3   1   0   number  of  vulnerability  discoveries  credited  to   each  vendor  over  the  last  4  years  Source:  OSVDB;  as  of  June  15th  2011  
  39. 39. discovering  Adobe  Flash  vulnerabili>es   Palo  Alto   Tipping   Check  Point   Juniper    &   McAfee   Sourcefire   Networks   Point   So9ware   Cisco   12   1   1   0   0   0   number  of  vulnerability  discoveries  credited  to   each  vendor  over  the  last  4  years  Source:  OSVDB;  as  of  June  15th  2011  
  40. 40. download  protec>on    •  An>-­‐Malware  signatures  available  to  the  en>re   par>cipant  base  within  one  hour  of  first  discovery  •  Generic  drive-­‐by-­‐download  protec>on  for  HTTP/S   downloads  
  41. 41. back-­‐channel  protec>on    •  Block  unknown  applica>on  traffic  •  Use  heuris>cs  to  detect  back  channel  communica>on  •  C&C  signatures  available  for  newly  discovered   malware  
  42. 42. explore-­‐and-­‐steal  protec>on    •  Network  segmenta>on  •  Control  access  to  data  by  user  and  applica>on  
  43. 43. the  role  of  NGFW  in  stopping  modern   malware  
  44. 44. solu>on  has  to  be  enterprise-­‐wide  
  45. 45. protec>on  has  to  be  real-­‐>me,  inline  
  46. 46. needs  user-­‐based  access  control  
  47. 47. needs  high-­‐speed  IPS  and  AV  
  48. 48. need  to  perform  across  all  applica>ons  
  49. 49. need  to  block  the  unknown  
  50. 50. conclusion:  advanced-­‐malware  protec>on   belongs  in  a  next  genera>on  firewall  
  51. 51. Thank  You  

×